Definições de configuração

  • Versão de lançamento: Australia
  • Atualizado 12 de mar. de 2026
  • 4 min. de leitura
  • Use esta opção para modificar IBM QRadar propriedades do sistema padrão da integração de ingestão.

    Para modificar as propriedades do sistema, faça login como um usuário com sn_si.admin e navegue até Integração do IBM QRadar > Configurações de integração do IBM QRadar.

    Tabela 1. Configurações de integração do IBM QRadar
    Nome da Propriedade Descrição
    Imponha um limite no número de incidentes de segurança que podem ser criados em um período de 24 horas.

    sn_sec_qradar.max_si_per_day

    Especifique o número máximo de incidentes de segurança que podem ser criados em 24 horas.
    • Tipo: inteiro
    • Valor padrão: 1000
    Impõe um limite ao número de infrações que podem ser agregados a um único incidente.

    sn_sec_qradar.max_aggregation_per_si

    O limite de agregação de infração para um incidente de segurança. Por exemplo, se houver 102 infrações, as primeiras 100 infrações serão agregadas a. incidente de segurança_1 e os restantes 2 a. incidente de segurança_2 .
    • Tipo: inteiro
    • Valor padrão: 100
    Esta propriedade define o período de tempo de AQL para buscar eventos/fluxos recentes para uma infração específica.

    sn_sec_qradar.on_demand_recent_days_limit

    Especifique o número de dias para buscar eventos ou fluxos recentes para uma infração específica.
    • Tipo: inteiro
    • Valor padrão: 7
    Esta propriedade limita o número de eventos recentes obtidos para uma infração específica.

    sn_sec_qradar.on_demand_event_limit

    Especifique o número de eventos que são recuperados para uma infração. Os eventos mais recentes são recuperados primeiro com base no carimbo de data/hora do evento.
    • Tipo: inteiro
    • Valor padrão: 100
    Esta propriedade limita o número de fluxos recentes obtidos para uma infração específica.

    sn_sec_qradar.on_demand_flow_limit

    Especifique o número de fluxos recuperados para uma infração. Os fluxos mais recentes são recuperados primeiro com base no carimbo de data/hora do fluxo.
    • Tipo: inteiro
    • Valor padrão: 100
    Esta propriedade define o valor de tempo limite (segundos) para o AQL que busca fluxos/eventos recentes para uma infração específica.

    sn_sec_qradar.on_demand_timeout

    • Tipo: inteiro
    • Valor padrão: 300
    Tempo limite de IDs de pesquisa (segundos) para registros na fila para pesquisa de AQLs de uma infração.

    sn_sec_qradar.sid_ttl

    O tempo limite do AQL para uma infração na fila antes de criar um incidente de segurança. Por exemplo, se houver 90 infrações, as primeiras 50 infrações serão processadas para dados de AQL no primeiro lote e as restantes 40 infrações no lote subsequente no mesmo intervalo de pesquisa.
    • Tipo: inteiro
    • Valor padrão: 300

    Limite para controlar o número de pesquisas que podem ser executadas em IBM QRadar em um horário acionado pela integração agendada

    job.sn_sec_qradar.records_threshold_in_que_for_aql

    Especifique o número de infrações que você busca em um único lote em um intervalo de pesquisa.
    • Tipo: inteiro
    • Valor padrão: 50

    Este é o número de dias para limpeza de tabelas de integração.

    sn_sec_qradar.queue_item_expire

    A seguir estão as tabelas de integração:
    • sn_sec_qradar_events - Eventos do IBM QRadar
    • sn_sec_qradar_flows - Fluxos do IBM QRadar
    • sn_sec_qradar_ofense_updates - Atualizações de ofensa do IBM QRadar
    • sn_sec_qradar_ofense_to_task - Ofensão do IBM QRadar para Tarefa
    • Tipo: inteiro
    • Valor padrão: 30

    Limite de infração por execuções de trabalho agendadas por perfil na recuperação única ou na ingestão contínua.

    sn_sec_qradar.max_ofense_limit_per_run

    Especifique o número de infrações que você busca em ServiceNow AI Platform em uma única recuperação.
    • Tipo: inteiro
    • Valor padrão: 1000

    Defina esta propriedade para ativar o recurso Atualizações de ofensas.

    sn_sec_qradar.get_ofense_updates

    Nota:
    A ativação desta configuração pode causar um atraso na criação de um incidente de segurança.
    • Tipo : verdadeiro| falso
    • Valor padrão: falso
    Permite adicionar intervalo de sobreposição ao buscar infrações do QRadar.

    sn_sec_qradar.allow_overplading

    Opção para habilitar o uso de uma janela de tempo sobreposta ao buscar infrações de IBM QRadar.

    Quando habilitado, o sistema inclui uma pequena sobreposição entre os intervalos de pesquisa consecutivos para garantir que nenhuma infração seja perdida devido a atrasos de tempo ou latência de ingestão.

    • Tipo : verdadeiro| falso
    • Valor padrão: falso
    Log-depuração de nível, informações, aviso, erro.

    sn_sec_qradar.logging.detalhamento

    Nível de detalhamento do registro em log para a integração do QRadar.

    Os valores compatíveis incluem DEBUG, INFO, WARN e ERRO.

    • Tipo: Caractere
    • Valor padrão: Depuração
    Tempo em minutos a ser adicionado como intervalo de sobreposição.

    sn_sec_qradar.overlapping_time

    Número de minutos a serem adicionados como um intervalo de sobreposição ao buscar infrações de IBM QRadar.
    • Tipo: inteiro
    • Valor padrão: 30
    Número de regras que serão incluídas em uma única célula.

    sn_sec_qradar.rules_batch_size

    Especifique o número máximo de regras de correlação que serão agrupadas e enviadas juntas em uma única solicitação para IBM QRadar durante a pesquisa de infração.

    Esta configuração ajudará a controlar o comportamento e o desempenho em lote. O valor mais baixo resulta em mais chamadas de API com cargas menores, enquanto o valor mais alto reduz o número de chamadas de API e aumenta o tamanho de cada solicitação.

    Ajuste este valor com base no desempenho do QRadar e nos limites da API.

    • Tipo: inteiro
    • Valor padrão: 50
    Buscar regras ADE

    sn_sec_qradar.fetch_ade_rules

    Opção para ingerir regras ADE em IBM QRadar Lista de regras.

    Buscar regras de ADE buscará regras de anomalia criadas em IBM QRadar.

    • Tipo : verdadeiro| falso
    • Valor padrão: falso

    Todas as configurações de integração modificadas serão aplicadas durante o próximo intervalo de pesquisa, conforme definido no perfil.